Las vulnerabilidades de seguridad externas pueden ocurrir en cualquier nivel de comerciante. El PCI Security Standards Council requiere que las empresas de todos los niveles comerciales realicen análisis de red regulares para detectar posibles vulnerabilidades antes de que lo hagan los piratas informáticos. Estos análisis los realiza un proveedor de análisis aprobado y certificado por PCI. Las siguientes secciones describirán qué es un ASV y cómo funcionan para ayudar a las empresas a lograr el cumplimiento de PCI.
Indice
¿Qué es un proveedor de escaneo aprobado?
Los PCI ASV son empresas certificadas y aprobadas por PCI SSC que ayudan a implementar requisitos específicos de PCI DSS. PCI ASV realiza escaneos ASV necesarios para el cumplimiento de la empresa con PCI DSS, verifica y proporciona un informe válido como prueba.
Los PCI ASV son la autoridad para emitir un informe de escaneo certificado, por lo que casi siempre tendrás que trabajar con uno.
PCI ASV realiza análisis trimestrales de vulnerabilidades externas que debe realizar el proveedor de análisis aprobado (ASV) para cumplir con el requisito de PCI DSS 11.2.2.
Un proveedor de escaneo aprobado, a menudo conocido simplemente como ASV, es una organización que utiliza un conjunto de servicios y herramientas de seguridad de datos para determinar si una empresa cumple con los requisitos de escaneo externo de PCI DSS. Los ASV realizan un escaneo externo de vulnerabilidades de la red o el sitio web de una organización desde afuera mirando hacia adentro.
Además de determinar si cumple con PCI, estos escaneos de los proveedores de servicios pueden proporcionar información sobre cualquier cambio de seguridad de datos que deba realizarse.
Cualificaciones de la empresa ASV
Para que una empresa sea aprobada por el PCI SSC para realizar escaneos y verificar los estándares de seguridad, primero debe convertirse en una entidad legal y cumplir con todos los requisitos para realizar negocios. A continuación, deben pasar por un proceso de registro con el PCI SSC.
El proceso consiste en revisar la guía del programa ASV, registrarse para las pruebas y proporcionar información administrativa y detalles técnicos mediante la presentación de una certificación de cumplimiento. El Consejo revisa la solicitud y la acepta o rechaza para la prueba. Al ASV prospectivo se le concede una fecha de prueba una vez que el Consejo recibe el pago.
El siguiente paso es la preparación de la prueba y la prueba en sí. La preparación incluye el contacto con el PCI SSC sobre la estructura de la prueba y un representante del Consejo, por teléfono, probará la capacidad del posible ASV para determinar el alcance del escaneo simulando la participación de un cliente.
La prueba de escaneo de ASV real enfrentará las herramientas de los proveedores en perspectiva con el perímetro web de prueba del Consejo. Los resultados de ese análisis (incluidas las vulnerabilidades y configuraciones incorrectas descubiertas) se envían al Consejo. Se lleva a cabo una evaluación adicional de este escaneo, así como otra llamada telefónica simulada de participación del cliente a través de los servicios de escaneo.
Finalmente, el Consejo concluirá su evaluación y aceptará o rechazará al proveedor en función de los resultados de la prueba. Si se acepta, el proveedor se agrega a la lista de proveedores aprobados en el sitio web de PCI SSC. Todas las empresas de esta lista se someten a nuevas pruebas anualmente para mantener su estado de ASV.
Si se niega a una empresa, pueden volver a solicitar otra de escaneo ASV. Se pueden realizar tres intentos, después de lo cual una empresa puede estar sujeta a un período de espera antes de poder volver a realizar la prueba. Cada intento viene con una tarifa de prueba.
Responsabilidades
En primer lugar, su responsabilidad es asegurarse de que todos los escaneos se realicen de acuerdo con el requisito 11.2.2 de las PCI DSS. En segundo lugar, deben asegurarse de que su solución de escaneo AVS se mantenga en términos de seguridad e integridad para sus comerciantes. Según el PCI SSC, también deben asegurarse de que su proceso de escaneo se adhiera a lo siguiente:
- No afecte el funcionamiento normal del entorno del cliente de escaneo.
- No penetre ni altere intencionalmente el entorno del cliente de escaneo.
- Escanear todos los rangos de direcciones IP, dominios, componentes, etc. proporcionados por el cliente de escaneo para identificar componentes y servicios activos.
- Consultar con el cliente de escaneo para determinar si los componentes encontrados, pero no proporcionados por el cliente de escaneo, deben incluirse en el alcance del escaneo.
- Proporcionar una determinación sobre si los componentes de los clientes de escaneo cumplen con los requisitos de escaneo.
- Proporcionar documentación adecuada dentro del informe de escaneo para demostrar el cumplimiento o incumplimiento de los componentes de los clientes de escaneo con los requisitos de escaneo de vulnerabilidades externas.
- Enviar (al cliente de escaneo) la hoja de portada de Atestación de cumplimiento de escaneo del informe de escaneo de ASV (una Certificación de cumplimiento de escaneo) y el informe de escaneo de acuerdo con las instrucciones de los adquirentes de los clientes de escaneo y / o las marcas de pago participantes.
- Incluir las atestaciones requeridas del cliente de escaneo y de la Compañía ASV en el informe de escaneo de acuerdo con este documento y los requisitos aplicables del Programa ASV.
- Conservación de informes de escaneo y documentos de trabajo relacionados y productos de trabajo durante tres años, según lo exigen los Requisitos de calificación de ASV.
- Proporcionar al cliente de escaneo un medio para disputar los resultados de los informes de escaneo.
- Mantener un proceso de aseguramiento de la calidad interno para sus esfuerzos relacionados con el Programa ASV de acuerdo con este documento y los requisitos aplicables del Programa ASV.
¿Qué son los procesos de escaneo PCI ASV?
Las etapas del análisis de vulnerabilidades externas PCI ASV son las siguientes:
- Alcance: el alcance del escaneo lo lleva a cabo el cliente para cubrir todos los componentes del sistema orientado a Internet que forma parte del entorno de datos del titular de la tarjeta.
- Escaneo: la empresa ASV realiza un escaneo de vulnerabilidades utilizando su solución de escaneo. Se pueden escanear varias secciones del entorno de datos del titular de la tarjeta (CDE) por separado durante los escaneos.
- Informes / remediación: Una vez finalizado el escaneo, los resultados de los informes provisionales se presentan al cliente y el cliente realiza las remediaciones necesarias.
- Resolución de disputas: el cliente y ASV colaboran para documentar y resolver los resultados controvertidos de los exámenes de detección.
- Volver a explorar (si es necesario): las nuevas exploraciones continuarán hasta que se cree una exploración exitosa que resuelva los conflictos y las excepciones.
- Informe final: si no hay vulnerabilidades de escaneo, se genera un informe aprobado por PCI ASV. El informe se envía y se entrega al cliente de forma segura.
La determinación del alcance es el primer y principal paso del escaneo ASV. Primero, ASV le pedirá al comerciante que proporcione una lista de todos los componentes conectados a Internet. En última instancia, el comerciante es responsable de determinar el alcance del escaneo, incluso si designa a un tercero para consultarlo.
Si los datos de la cuenta están expuestos debido a un componente no incluido en el escaneo, el comerciante es responsable del escaneo y la cobertura. Una vez delimitados, los sistemas de seguridad activos deben configurarse para que no interfieran con el escaneo de ASV.
La organización PCI ASV realiza un proceso de descubrimiento para verificar el alcance proporcionado por el cliente. Cuando el cliente de escaneo identifica componentes fuera del alcance, verifica que dichos resultados estén fuera del alcance debido a la segmentación de la red o repite el primer paso.
Cuando los resultados del descubrimiento coinciden con el alcance proporcionado por el cliente, ASV realiza el escaneo. Al completar el escaneo, debe verificar que los procesos de aseguramiento de calidad de ASV, PCI y ASV estén implementados como se describe en la Guía del Programa de ASV.
Un análisis de escaneo producirá muchos hallazgos diferentes. Para que el informe de escaneo sea aprobado por ASV, debe ser un informe «aprobado» y no debe haber ningún hallazgo de vulnerabilidad de seguridad en el informe.
Los clientes solo pueden enviar informes «aprobados» al banco o la marca de pago. Los informes de ASV aprobados deben enviarse según los requisitos de la marca de pago que involucran a la empresa. Los clientes de escaneo pueden comunicarse con su banco adquirente o las marcas de pago participantes para determinar quién debe recibir los resultados.
Además, un análisis de vulnerabilidades de ASV puede fallar. Cuando se realiza un escaneo fallido, el comerciante puede objetar los resultados del escaneo.
Además de los hallazgos, puede surgir un desacuerdo y los hallazgos pueden ser cuestionados por muchas razones, como falsos positivos, anomalías en el escaneo o escaneos de ASV que no se pueden realizar debido a interrupciones durante el escaneo.
PCI ASV tiene una política documentada que debe cumplir. Se debe notificar explícitamente al cliente de escaneo si la disputa se enviará a PCI ASV.
Las disputas deben ser manejadas por ambas partes y no remitidas al PCI SSC. Ambos detalles de la disputa son enviados a ASV por escrito por el cliente de escaneo. Lo más probable es que ASV intente verificar la disputa de forma remota y solicite pruebas escritas para su revisión.
Las disputas se incluyen en el último informe de escaneo y los clientes no pueden cambiar el informe.
También puede haber situaciones en las que una vulnerabilidad detectada provoque un error en el análisis. En este escenario, la empresa necesitaría solucionar los problemas que causan la falla y volver a escanear hasta que se complete un escaneo exitoso. El resumen de análisis real incluye ambos análisis fallidos.
Además, un escaneo fallido puede ser el resultado de un intento de escaneo. En este escenario, el cliente de escaneo puede trabajar con ASV para realizar el escaneo sin problemas. Si el cliente abandona un escaneo sin que se resuelvan los resultados, el ASV informará el escaneo como un escaneo fallido.
Elegir el ASV correcto
Hay algunas cosas a considerar al elegir el ASV adecuado para realizar escaneos para tu empresa. Algunos ASV tienen mejores servicios de escaneo que otros, en algunos casos eso significa que algunos son mejores que otros para reducir los falsos positivos que pueden aparecer. Puede llevar tiempo y dinero eliminar los falsos positivos de un escaneo. Un buen proveedor de escaneo aprobado tiene un sistema continuo para ajustar los motores de escaneo para producir resultados precisos sin atascar tu sistema con resultados inexactos.
El ASV adecuado para los comerciantes se ajustará a sus necesidades. Al investigar las empresas de ASV, es importante examinar qué puede ofrecer cada proveedor de servicios y si esos servicios son adecuados para tus necesidades de seguridad, por ejemplo, si ofrecen servicios de seguridad administrados adicionales o no.
Puede ser útil investigar su historial y el éxito que han tenido con sus exploraciones en el pasado. También puede ser útil conocer la experiencia de su personal. Tener experiencia detrás de un análisis de vulnerabilidades es importante para obtener las mejores recomendaciones sobre sus entornos de red únicos e individuales.
Las nuevas vulnerabilidades son comunes y, por lo tanto, depende de cada empresa decidir si desea realizar análisis más que los intervalos trimestrales recomendados. Algunos ASV cobrarán por cada escaneo y nuevo escaneo, sin embargo, hay empresas que lo volverán a escanear sin coste alguno. Es posible encontrar un ASV que brinde más servicios que solo los escaneos de vulnerabilidades exteriores. Algunos ofrecerán servicios más completos que se extienden aún más para garantizar un cumplimiento preciso y una seguridad integral.
Por último, es fundamental saber si un ASV se encuentra actualmente en reparación. Si están en reparación, significa que la empresa no ha cumplido con todos los requisitos de calificación actuales de ASV.
PCI SSC marcará a una empresa en reparación al incluir el nombre de la empresa y el correo electrónico en texto rojo. Se incluirán en la lista junto con todas las demás empresas de ASV, pero solo durante un período de tiempo determinado. Si permanecen en reparación durante demasiado tiempo, se eliminarán de la lista.
PCI SSC recomienda ponerse en contacto con una empresa en reparación si necesita más información sobre su estado. Durante el proceso de contratación de un nuevo ASV, sería beneficioso preguntarle a una empresa si alguna vez ha estado en reparación, lo que puede ayudar con tu decisión.
¿Con qué frecuencia debe realizar exploraciones PCI ASV?
Se requieren escaneos de vulnerabilidades de PCI ASV al menos trimestralmente y después de cambios significativos en la red, como nuevas instalaciones de componentes del sistema, cambios en la topología de la red, cambios en las reglas del firewall o actualizaciones de productos.
Una organización que cumple con PCI DSS debe realizar un escaneo ASV cada tres meses, cuatro veces al año. Si su escaneo de ASV da como resultado un «Fallido», el escaneo de ASV de corrección correspondiente debe realizarse en el mismo trimestre del escaneo de ASV «fallido» hasta que se complete el escaneo «exitoso».
¿Qué sistemas deben someterse al escaneo PCI ASV?
PCI DSS requiere el escaneo de vulnerabilidades de cualquier componente del sistema con conexión a Internet que sea accesible externamente y que sea propiedad o utilice el cliente de escaneo que sea parte del entorno de datos del titular de la tarjeta y cualquier componente del sistema que proporcione una ruta al entorno de datos del titular de la tarjeta.
Cualquier IP que almacene, procese o transmita datos y direcciones IP vinculadas a esa IP se incluyen automáticamente en el escaneo. Si se puede acceder a la dirección IP “dentro del alcance” desde otra dirección, esa dirección también está cubierta.
Como organización, no eres completamente responsable de la precisión de la cobertura. Los ASV deben verificar la cobertura. Para evaluar su alcance, es posible que deban realizar comprobaciones de alto nivel y, a continuación, tu organización puede revisar todas las direcciones IP identificadas.
Tu ASV necesitará una lista de todas tus direcciones IP. Aunque el alcance de los datos del titular de la tarjeta puede ser menor, es esencial anotar todas las direcciones IP para asegurarse de que tengan visibilidad de toda la cobertura potencial.
El escaneo PCI ASV debe cubrir toda la segmentación física o lógica de la infraestructura externa a menos que se use en la red.
Cumplimiento de ASV y PCI
El proceso de escaneo puede parecer tedioso, pero al final, lo más importante es que tu empresa cumpla con PCI. Trabajar con una empresa de ASV es diferente a trabajar con un QSA. Dependiendo del tamaño de tu empresa, es posible que te sientas cómodo al optar por no utilizar un QSA y realizar una autoevaluación.
Los análisis de vulnerabilidades externas no tienen esa opción disponible. El PCI SSC requiere que todos los niveles de comerciantes realicen exploraciones regulares de la red mediante un ASV. Sin embargo, si revisas y eliges el ASV adecuado para tus necesidades, se reducirá el riesgo de sufrir una infracción externa.